Друзья помогите, купил SSL сертификат, хочу полностью перевести сайт на HTTPS, без подключения плагина «HTTPS Detect».

Проблема такая, что при подключении плагина сайт (шаблон полностью ломается), сайт открывается некорректно. Какие есть альтернативные варианты?

Недавно, после того как у меня обострилась паранойя после добавление на свой сайт платёжной системы я всерьез заинтересовался проблемами безопасности. Одна из распространенных проблем в безопасности — это кража кук, с помощью всяческих XSS уязвимостей, которые (XSS уязвимости) присуствовали даже в старых релизах LS.
Читать дальше →

Актуальная проблема, пропадают топики. В чем может быть проблема?

Движек 1.0.3, автор топика не удалял сам топик. Проблема не единичная. Топики удаляются, комменты остаются.



Помогите в решении проблемы!

Данный плагин подменяет для всех стандартное действие «Удалить топик» и вместо реального удаления производит отметку об удалении. Это позволяет как защититься от случайного удаления, так и от удаления контента обиженным автором.

Администратору доступны как функции удаления, так и восстановления топика.

Читать дальше →

Привет! Зачем при выходе из системы LS сравнивает SECURITY_LS_CODE?
В чем фишка?

Всем привет!

Очень нужна помощь сообщества. Практически на регулярной основе происходит спам атака на сайт на базе livestreet. Как бороться — не знаю, могу только после «драки» помахать руками и поудалять посты. Увеличение времени постинга между постами, удаление пользователей ни к чему хорошему не приводит.

Спам — пользователи продолжают безнаказанно лить сотнями лить посты. Маленькая тонкость — в логах post запросов нет.

Кто сталкивался и ка с этим бороться?

UPD:

• Спам идет сразу с нескольких ip адресов, при бане одного ip(deny from xx.xx.xx.xx) тут же идет авторизация из под другого и продолжение атаки.
• Время между топиками($config['acl']['create']['topic']['limit_time']) стоит нормальное, но спамят из под нескольких пользователей и в «личные» блоги, поэтому — не спасает
• В связи с тем, что «поймал» момент непосредственного спама пока добавил правило:

  Redirect seeother /topic/add http://ru.wikipedia.org/wiki/%D1%EF%E0%EC

  , но безусловно это не выход. Просто проще заблокировать на время, чем потом удалять сотни топиков.
• За время атаки было создано 1948 топиков

Привет всем)
Хотелось бы заказать модуль, позволяющий создавать группы пользователей и по ним делать ограничения доступа к страницам, блогам сайта. Все просто. Например, мы создаем группу пользователей и вводим ссылки, которые недоступны этим группам. Чем меньше ссылок — тем меньше ограничений.
Как пример:

• Гости:

http://livestreet.ru/page/about/
    http://livestreetcms.com/addons/
    http://livestreet.ru/blog/sollutions/
    

• Новичок:
  

  http://livestreetcms.com/addons/
      http://livestreet.ru/blog/sollutions/
      

• Опытный пользователь:
  

  http://livestreet.ru/blog/sollutions/
      

• Администратор:
  

Если же есть ограничение например к livestreet.ru/page/ то это ограничение действует и там livestreet.ru/page/about/.

Интересует быстрая разработка. Возможно дальнейшее выкладывание здесь в виде отдельного модуля.
Писать в ЛС.

Сообщаем о выходе новой версии LS 1.0.3. Версия носит багфиксный характер.
Были закрыты две XSS уязвимости(спасибо HiMiC и PSNet ) и исправлено раскрытие директории в сессиях(еще раз спасибо PSNet ).

Обновленный дистрибутив уже доступен для загрузки — livestreetcms.ru/download/
Для закрытия этих багов для версий 1.0.2, 0.5.1 и 0.4.2 достаточно скачать этот патч и залить его поверх вашей версии LS.

Важное замечание! Настоятельно рекомендуем обновиться с версий 0.5 и 0.4 до актуальной 1.0.3. Т.к. помимо исправлений этого патча старые версии содержать множество других бед, в том числе и потенциальные уязвимости.

Изменения коснулись 4-х файлов:

config/jevix.php
engine/lib/external/Jevix/jevix.class.php
engine/lib/external/swfupload/swfupload.swf
engine/modules/session/Session.class.php

Подробнее можно посмотреть на гитхабе — github.com/livestreet/livestreet/commit/83c15587388dec02f8b97eac8a0d809a3233702c

Что ж… модуль сессий в ЛС оказался слегка дырявым всего-навсего в пределах одного метода. Первая часть по раскрытию путей находится здесь, все тесты и описание будут приводится на основе исправленного модуля сессий из предыдущего топика.
В данном топике будет рассмотрено и исправлено 2 способа раскрытия путей на сайте под управлением ливстрит последней доступной версии (1.0.2).

Читать дальше →

В LiveStreet CMS последней версии (1.0.2) обнаружена уязвимость, которая раскрывает пути на сервере, связанная с модулем сессий. Ошибка связана с отсутствием проверки типа значения для установки нового id сессии при подмене User Agent.

Читать дальше →